Beruflich Dokumente
Kultur Dokumente
GDD-Praxishilfe DS-GVO
ePrivacy und Datenschutz beim Onlineauftritt
INHALT
1. Einleitung ..................................................................... 3
2. TTDSG............................................................................ 3
2.1 Anwendungsbereich des TTDSG ........................................................... 3
2.2 Anforderungen an Cookies und Co. nach § 25 TTDSG ............................ 3
2.3 Cookie-/Consent-Banner.................................................................... 6
2.4 Anwendbarkeit von § 25 TTDSG auf Cookies vergleichbare
Verfahren, z.B. sog. Browser- oder Device-Fingerprinting ...................... 8
3. DS-GVO.......................................................................... 8
3.1 Anwendungsbereich der DS-GVO ......................................................... 8
3.2 Anforderungen der DS-GVO an (Online-)Datenverarbeitungen
und Verhältnis von DS-GVO und TTDSG ............................................... 10
3.3 Betroffenenrechte .......................................................................... 10
3.3.1 Allgemeines .............................................................................. 10
3.3.2 Auskunft ................................................................................... 11
3.3.3 Löschung .................................................................................. 11
3.4 Datenschutzerklärung ..................................................................... 12
4. Anbieterkennzeichnung („Impressum“)......................... 14
1. Einleitung vgl. § 1 Nr. 2 TTDSG. Anbieter von Telemedien ist
nach § 2 Abs. 2 Nr. 1 TTDSG jede natürliche oder
Betreiber von Websites, Apps und Co. haben die juristische Person, die eigene oder fremde Teleme-
Vorgaben des Telekommunikation-Telemedien-Da- dien erbringt, an der Erbringung mitwirkt oder den
tenschutz-Gesetz (TTDSG), insbes. § 25 TTDSG, so- Zugang zur Nutzung von eigenen oder fremden Te-
wie die Vorgaben der Datenschutz-Grundverordnung lemedien vermittelt.
(DS-GVO) zu beachten. § 25 TTDSG setzt europäi- Telemedien sind nach § 1 Abs. 1 S. 1 TMG alle
sche Vorgaben, konkret: Art. 5 Abs. 3 ePrivacy-RL elektronischen Informations- und Kommunika-
(RL 2002/58/EG), nahezu wortgleich in nationa- tionsdienste, soweit sie nicht Telekommunikati-
les Recht um. Die Interpretation der europäischen onsdienste, telekommunikationsgestützte Dienste
Norm kann insofern auch für die Auslegung und oder Rundfunk sind (Telemedien). Beispiele für
Anwendung der TTDSG-Bestimmung herangezogen Telemediendienste sind u.a. Online-Angebote von
werden. Ursprünglich war vorgesehen, dass zeit- Waren/Dienstleistungen mit unmittelbarer Bestell-
gleich mit der DS-GVO am 25.05.2018 auch eine möglichkeit (z.B. Angebot von Verkehrs-, Wetter-,
diese ergänzende und die ePrivacy-RL ersetzende oder Börsendaten, elektronische Presse, Fernseh-/
ePrivacy-VO als in allen EU-Mitgliedstaaten unmit- Radiotext, Teleshopping), Video on Demand, Inter-
telbar geltendes Recht in Kraft treten sollte. Dies netsuchmaschinen, Werbemails, aber auch bereits
ist nicht geschehen. Ob bzw. wann es noch zum „einfache“ Homepages zur Information über ein
Inkrafttreten der ePrivacy-VO kommen wird, ist un- Unternehmen bzw. eine öffentliche Stelle.
klar. Bis zur Geltung der ePrivacy-VO gilt das be-
stehende europäische ePrivacy-Recht fort, also die
ePrivacy-RL in Fassung der sog. „Cookie Richtlinie“ 2.2 Anforderungen an Cookies und
(Richtlinie 2009/136/EG). Co. nach § 25 TTDSG
Im Folgenden wird erläutert, auf welche Ver-
haltensweisen des Websitebetreibers § 25 TTDSG Beim Websitebetrieb kommen vielfach Cookies zum
bzw. die DS-GVO konkret Anwendung finden, also Einsatz, die auf den Endgeräten der Nutzer/-innen
ihr sachlicher Anwendungsbereich. Zudem wird der abgelegt und später wieder ausgelesen werden.
Rechtsrahmen dargestellt, der sich aus § 25 TTDSG
bzw. der DS-GVO ergibt, also was konkret mit den
personenbezogenen Daten der Websitenutzer/-in- Was sind Cookies?1
nen gemacht werden bzw. unter welchen Vorausset-
zungen beim Einsatz von Cookies und Co. auf deren Cookies sind kleine Textdateien, die
Endgeräte zugegriffen werden darf. der Webbrowser auf dem Computer
speichert. Anhand von Cookies er-
kennt eine Website, wer sie gerade
besucht, und kann dadurch Nutzer-
2. TTDSG präferenzen, wie z.B. Sprach- oder
Log-in-Informationen speichern,
2.1 Anwendungsbereich des TTDSG damit der Nutzer die Einstellungen
nicht immer wieder neu vornehmen
Das TTDSG enthält „besondere Vorschriften zum bzw. sich immer wieder neu anmel-
Schutz personenbezogener Daten bei der Nutzung den muss.
von Telekommunikationsdiensten und Telemedien“,
5 Vgl. dazu den Abschnitt zur DS-GVO. 6 EuGH, Urt. v. 01.10.2019 – C-673/17.
7 EDSA, Leitlinien 05/2020 zur Einwilligung gem. Verordnung
2016/679, Version 1.1 (04.05.2020), Rn. 64.
Fortfahren ohne
Einwilligung
Ihre Einwilligung
Alles
akzeptieren
Alles
ablehnen
8 EuGH, Urt. v. 01.10.2019 – C-673/17 („Planet49“-Entschei- 9 Délibération n° 2020-092 du 17 septembre 2020 portant ad-
dung). option d’une recommandation proposant des modalités pra-
tiques de mise en conformité en cas de recours aux «cookies
et autres traceurs»
3. DS-GVO
3.1 Anwendungsbereich der DS-GVO
2.4 Anwendbarkeit von § 25 TTDSG
auf Cookies vergleichbare Verfah- Gemäß Art. 2 Abs. 1 ist die DS-GVO sachlich an-
ren, z.B. sog. Browser- oder De- wendbar, sofern personenbezogene Daten ganz
vice-Fingerprinting oder teilweise automatisiert verarbeitet werden
(Alt. 1) oder zwar keine automatisierte Verarbei-
§ 25 TTDSG regelt nicht nur den Einsatz von Coo- tung erfolgt, aber Daten verarbeitet werden, die in
kies, sondern ist technikneutral. Erfasst werden einem „Dateisystem“ gespeichert sind oder gespei-
etwa auch Zugriffe auf Endgeräte durch Apps so- chert werden sollen (Alt. 2). Art. 2 Abs. 2 DS-GVO
wie Gegenstände im Internet der Dinge (Internet regelt Ausnahmen von dem durch Abs. 1 vorgege-
of Things – IoT), z.B. Küchen- oder Alarmgeräte. benen sachlichen Anwendungsbereich, wobei für
Ob auch alternative Onlinetrackingverfahren von den Bereich des Onlinedatenschutzes vor allem die
der Norm erfasst werden, wie z.B. das Browser-/ sog. „Haushaltsausnahme“ Bedeutung hat, nach
Device-Fingerprinting, hängt von deren konkreter welcher die DS-GVO keine Anwendung findet auf
Funktionsweise ab, konkret davon, ob hierzu ein die Verarbeitung personenbezogener Daten durch
„Zugriff“ i.S.v. § 25 TTDSG auf das Endgerät statt- natürliche Personen zur Ausübung ausschließlich
findet. persönlicher oder familiärer Tätigkeiten.
Beim sog. Fingerprinting erfassen die Webserver Bei den vorliegend relevanten Onlinesachver-
unterschiedliche Merkmale der Browser der Besu- halten, also Verarbeitungen im Zusammenhang mit
cher und ermitteln auf dieser Basis jeweils einen Websites und Apps, liegt stets auch eine ganz oder
individuellen digitalen Fingerabdruck, mittels des- teilweise automatisierte Datenverarbeitung vor.
11 EuGH, Urt. v. 19.10.2016 – C-582/14 (Rechtssache Breyer), 13 Kühling/Buchner/Klar/Kühling, DS-GVO Art. 4 Nr. 1 Rn. 36.
Rn. 38 ff.
12 BGH, Urt. v. 16.05.2017 – VI ZR 135/13.
16 Vgl. hierzu oben unter 3.1. 17 Franck in: Gola/Heckmann, DS-GVO BDSG, Art. 12 Rn. 32.
18 In diesem Fall sind für die Logfiles angemessene Löschfristen
festzulegen, vgl. dazu auch den nachfolgenden Abschnitt zur
Datenlöschung.
19 BGH, Urteil vom 3. Juli 2014 – III ZR 391/13. 21 BayLDA, 28. Tätigkeitsbericht 2018, S. 146.
20 https://www.lda.bayern.de/media/muster_1_verein_ver- 22 LfDI Berlin, Jahresbericht 2018, S. 125 und 132.
zeichnis.pdf. 23 Art.-29-Datenschutzgruppe WP 260 rev.01 Rn. 11; bei Apps
ist eine ausreichende Erreichbarkeit nach dem Papier auch
dann gegeben, wenn zum Aufruf der Erklärung zwei Klicks
getätigt werden müssen. Beim Impressum, vgl. dazu unter
4., sollen generell zwei Klicks ausreichend sein, BGH Urt. v.
20.03.2006 – I ZR 228/03.
Schwartmann/Jaspers/Eckhardt
Schwartmann/Jaspers/E
TTDSG
2022. 498 Seiten. € 119,
119,–
ISBN 978-3-8114-5753-9
Schließen Sie sich unseren mehr als 3.800 Mitgliedern an. Eine Mitgliedschaft erhalten Sie schon ab
150,- EUR/Jahr für Privatpersonen und ab 300,- EUR/Jahr für Firmen.
Herausgeber:
Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.)
Heinrich-Böll-Ring 10
53119 Bonn
Tel.: +49 228 96 96 75-00
Fax: +49 228 96 96 75-25
www.gdd.de
info@gdd.de
Ansprechpartnerin: RAin Yvette Reif, LL.M.
Satz: C. Wengenroth, GDD-Geschäftsstelle, Bonn
Stand:
Version 1.1 (Januar 2023)